Un nouvel épisode inquiétant dans l'univers de la cybersécurité est apparu : des chercheurs de l'entreprise Arctic Wolf ont détecté à la mi-janvier 2026 une campagne automatisée qui modifie les configurations des pare-feu Fortinet FortiGate sans autorisation. Selon l'analyse publiée par la société, les attaquants ont profité du flux de connexion unique (SSO) lié à FortiCloud pour accéder aux consoles administratives et aux fichiers de configuration exfilter.
La mécanique technique qui permet cette intrusion est basée sur les messages SAML manipulés pour supprimer l'authentification lorsque la fonctionnalité SSO de FortiCloud est activée sur les appareils affectés. Arctic Wolf indique que les familles de produits atteintes comprennent FortiOS, FortiWeb, FortiProxy et FortiSwitchManager, et relie cette activité à des vulnérabilités déjà cataloguées dans l'écosystème Fortinet. Dans votre rapport, vous pouvez lire une analyse détaillée des signes observés et de la séquence des actions de l'agresseur: Rapport du loup arctique.
Les chercheurs décrivent un modèle répétitif : La session SSO commence contre un compte suspect appelé Cloud-init @ courrier. io à partir d'un ensemble spécifique d'adresses IP, puis exporter les fichiers de configuration via l'interface graphique vers les mêmes adresses. Les adresses indiquées par Arctic Wolf comprennent 104.28.244.115, 104.28.212.114, 217.119.39.50 et 37.1.209.19. En plus de ce compte initial, les attaquants créent des comptes secondaires avec des noms génériques - par exemple secadmin, itadmin, support, sauvegarde, distantadmin ou audit - avec l'intention apparente de maintenir un accès persistant au périphérique.
Une caractéristique que les analystes mettent en évidence est la vitesse: tous les événements pertinents se produisent en quelques secondes, suggérant que l'opération est automatisée. Cette automatisation permet à l'attaquant de modifier la configuration pour fournir un accès VPN aux comptes créés et, dans certains cas, de télécharger la configuration complète du pare-feu. Il est important de souligner qu'un fichier de configuration de périphérique de sécurité contient habituellement des règles, des itinéraires, des certificats et parfois des références à des secrets qu'un adversaire peut réutiliser pour se déplacer latéralement dans un réseau ou maintenir un long accès.
La publication de Arctic Wolf vient en même temps que les utilisateurs dans les forums publics rapportent comportement anormal. Dans un thread de Reddit plusieurs administrateurs de Fortinet commentent la session malveillante de SSO commencer en équipes avec des correctifs appliqués, et l'un des participants affirme qu'une équipe de développement de Fortinet a confirmé des problèmes persistants dans la version 7.4.10. La discussion est disponible dans Reddit ici: fil dans Reddit. Entre-temps, Fortinet maintient son portail d'avis de sécurité et de documentation sur les produits où des correctifs et des recommandations officielles sont publiés: Avis de sécurité de Fortinet et documentation technique de Fortinet.
Bien que la confirmation officielle et les correctifs finaux dépendent du fabricant, Arctic Wolf et d'autres experts ont déjà proposé des mesures d'atténuation immédiates. Parmi les actions les plus urgentes, on peut citer la désactivation de l'option permettant le début de la session administrative via FortiCloud SSO dans les équipes concernées ( admin-forticloud-sso-login), examiner la liste des administrateurs locaux pour détecter les comptes inconnus, exporter et analyser les enregistrements d'accès et les exportations de configuration, et limiter l'accès aux interfaces de gestion au moyen de listes de contrôle d'accès ou de tunnels administratifs à partir d'adresses IP fiables.
Il est essentiel d'agir rapidement mais avec la méthode: désactiver la fonctionnalité vulnérable réduit la surface d'exposition, mais ne remplace pas un processus de vérification complet. Après avoir désactivé SSO il est approprié de vérifier tous les changements récents, vérifier l'intégrité et la confiance des certificats, forcer le changement de mots de passe et de clés touchés, et fermer les comptes nouvellement créés. Les équipes d'intervention devraient chercher des signes de mouvements latéraux ou de création de portes arrière supplémentaires, car l'affichage des fichiers de configuration peut avoir fourni à l'attaquant plus d'informations pour pivoter dans l'environnement.
Pour ceux qui gèrent FortiGate et d'autres produits de la famille Fortinet, la recommandation pratique à court terme est de suivre les instructions des fournisseurs de sécurité et de mettre à jour la version que Fortinet publie officiellement pour corriger les vulnérabilités sous-jacentes. Dans l'intervalle, il est prudent d'appliquer des contrôles compensatoires: restreindre l'accès administratif, surveiller l'exportation et les téléchargements de configuration, et tenir un registre des adresses IP à partir desquelles l'accès a lieu. Si vous avez besoin d'une référence sur la raison pour laquelle les vulnérabilités dans les flux SAML peuvent être critiques, vous pouvez voir du matériel technique sur SAML et ses vecteurs d'abus dans la communauté de sécurité: OWASP documentation sur SAML.
La situation est un rappel que des mécanismes de commodité tels que le SSO en nuage apportent des avantages opérationnels, mais aussi des risques s'ils ne sont pas combinés avec des contrôles de durcissement et de surveillance continue. Les équipes chargées de la sécurité et des opérations doivent supposer que les tentatives d'exploitation automatisées se poursuivront jusqu'à ce que l'atténuation finale soit mise en oeuvre. et d'organiser leurs réponses en conséquence: fermeture des vecteurs, vérification médico-légale et déploiement des correctifs officiels lorsque disponibles.
Nous suivrons l'évolution de l'incident et les publications officielles de Fortinet et des centres d'intervention pour mettre à jour toute recommandation. En attendant, vous pouvez lire l'analyse du loup arctique et consulter les guides Fortinet et les avis sur les liens mentionnés ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...